随着欧盟《通用数据保护条例》的出台,个人现在有更多的权利来了解有关其个人数据使用的信息。这些变化影响了临床试验招募过程的几个方面,可能需要申办者和CRO更新他们的数据收集和保护协议以及知情同意的流程。
同意处理
虽然CRO已经熟悉了同意的概念,但必须清楚地认识到,参与临床研究的知情同意与处理个人数据的同意是分开的、不同的。在这篇博客中,我们重点讨论后者的要求。
GDPR 加强了同意的条件,最明显的是规定了任何 征求同意的要求必须以清晰、易懂和容易获得的形式,以通俗的语言写成。 的形式,用浅显的语言书写。此外,撤销同意的过程 此外,撤回同意的过程必须与给予同意的过程一样简单。GDPR的第7条 概述了同意的条件。
值得注意的是。 GDPR第6条规定,个人数据的处理只有在数据控制者有合法依据的情况下才可以进行。 只有当数据控制者有处理的法律依据时才能进行。除了 除了个人的同意,GDPR允许的法律依据包括 为以下目的进行必要的处理。
- 履约 与某一特定数据主体签订合同,或与之签订合同
- 遵守 遵守欧盟或成员国法律规定的数据控制者应承担的法律义务。 遵循欧盟或成员国法律规定的法律义务
- 保护 数据主体或其他自然人的 "重要利益"。
- 执行 为公共利益或行使官方权力而执行的任务 赋予数据控制者的任务
- 的目的 数据控制者或第三方所追求的合法利益的目的。 除非这些利益被数据主体的利益或基本权利和自由所凌驾。 数据主体的基本权利和自由
此外 此外,如果申办者和CRO正在处理 "特殊类别 "的个人资料,也就是俗称的敏感个人资料。 敏感的个人数据,也就是俗称的敏感的个人数据,也需要有第9条的法律依据。 也需要有第9条的法律依据。临床试验数据被认为是一个 "特殊 "的 数据类别。传统上,这意味着,在临床试验的背景下,病人的明确同意是最重要的。 传统上,这意味着在临床试验的背景下,在收集任何个人数据之前,必须获得病人的明确同意。 收集。知情同意书中包含的隐私通知必须 清楚地说明收集什么数据以及为什么收集这些数据,这些数据被转移到哪里。 由谁处理,用于什么,以及涉及什么风险。这允许 这样,试验参与者就可以在知情的情况下选择是否同意进行处理。 处理。
GDPR的一项新 在GDPR中的一项新条款规定,如果个人数据被收集用于第9(2)(J)条规定的科学研究目的 如果为第9(2)(J)条规定的科学研究目的而收集个人数据,则不再需要甚至不需要征得个人同意。 个人的同意不再是必要的,甚至是可取的,因为根据第7条的同意 可以在任何时候撤回。如果临床试验提供者在处理 如果临床试验提供者以同意作为处理的法律依据来处理个人数据,一旦同意被撤销 一旦同意被撤销,继续处理可能就没有法律依据了。此外 此外,如果同意被用作处理的法律依据,则不允许限制参与者的权利。 不允许限制参与者在任何时候访问其个人数据的权利。 在任何时候。
目前。 整个欧洲只有少数几个国家,最主要的是英国,已经启动了GDPR中的特定减损条款,允许 "不同意"。 激活了GDPR中允许使用 "非同意 "选项的具体减损规定。 选项。申办者和CRO应及时了解欧盟成员国的最新进展。 欧盟成员国的最新发展。
访问数据保护官
根据GDPR第37条 的规定,赞助商可能被要求任命一名数据保护官。DPO 是强制性的,如果赞助商。
- 是 一个公共机构
- 是 大规模地处理敏感的个人数据
- 是 收集任何类型的信息,系统地监视个人 大规模的信息
不幸的是。 遗憾的是,GDPR 没有对 "大规模 "进行定义,因此该术语受制于 解释。虽然一些成员国已经提供了指导,但该定义在各国之间不一定一致。 在不同的国家不一定一致,有些国家--例如德国和法国--已经进一步采取了该法规,并要求赞助者对其产品和服务进行评估。 一些国家--例如德国和法国--已经将该法规向前推进了一步,并要求赞助商拥有一个DPO 拥有一个DPO。保荐人如果不确定他们是否需要一个DPO,应该咨询 他们的法律顾问。
如果需要一名DPO 如果需要一个DPO,他或她必须在特定地区的相关数据保护机构注册。 他或她必须在特定地区的相关数据保护机构注册。应该解决的一个问题是 是否可以在知情同意书中提及该DPO,以便研究参与者可以联系他或她。 参与者可以联系他或她。如果一个赞助者没有制定程序 如果申办者没有程序来维持病人联系的盲目性,申办者可能会 不愿意将DPO的详细资料放在ICF中。这对某些伦理委员会来说可能是不可接受的。 在这种情况下,必须制定其他的安排。 在这种情况下,必须设计出其他的安排。
数据管理
GDPR 伪原创和匿名化的概念对于临床试验的进行也是至关重要的。 审判的关键。
- 假名化 被定义为对个人数据的处理,其方式为 在不使用额外信息的情况下,个人数据不能再归属于某个特定的数据主体。 使用额外的信息。任何经过假名化处理的数据,如果仍然可以通过其他信息归属于研究参与者 使用其他信息仍可归属于研究参与者的任何假名数据将被视为 个人数据,必须进行相应的处理
- 匿名化 被定义为数据的呈现方式,使个人不被或不再被识别。 不再可以被识别。只有数据的匿名化才能确保数据不再被视为 不再被认为是个人数据
这些术语 应在临床试验方案中加以区分。在几乎所有的试验中。 编码的研究结果应被视为假名,而不是匿名。 因为研究机构掌握着病人ID代码的钥匙,使数据 可识别的。
数据传输
根据 根据GDPR第46条,当赞助商将欧盟公民的数据转移到欧洲经济区以外的地区时 欧洲经济区以外的地区。 它必须以保护欧洲经济区内数据的相同方式保护该数据。要将数据从欧盟发送到前欧盟国家的 担保人,必须有合法的转移方法,如《GDPR》第五章所述。 GDPR中描述的合法转移方法。这些合法的转移方法包括。
- 欧盟批准的标准合同条款。值得注意的是,数据保护当局要求各组织签订这些条款,以涵盖每个新的处理目的
- 欧盟-美国隐私保护原则,如果赞助者总部在美国并已自我认证。只有受美国联邦贸易委员会或交通部执法权管辖的组织才有资格参与该计划。通过隐私保护认证的公司名单可以在这里找到。值得注意的是,隐私保护目前正受到欧洲法院的质疑。
- 具有约束力的公司规则,是对跨国公司内部或从事共同经济活动的企业集团之间的数据传输具有法律约束力的内部规则。
- 转移到一个已经收到欧盟委员会的充分决定的国家,宣布第三方国家的数据保护法律是等同的;例如,瑞士。
此外。 当研究参与者同意向赞助者提供他们的个人数据时。 同意书必须告知参与者,他们的数据将被发送到欧盟以外的地方。 欧盟以外的国家。
随着临床 随着临床试验变得越来越全球化,遵守GDPR的一个主要挑战 的主要挑战在于如何在数据地图中捕获所有的全球处理,并确保数据传输的每个环节都是合法的。 数据传输的每个环节都是合法的。
患者代言人
业界越来越多地推动通过提供更多的病人宣传服务来改善 通过提供更多的患者宣传服务来改善患者招募。正在考虑病人宣传工作的赞助者 正在考虑病人宣传工作的赞助者将需要制定政策和程序,以 说明他们如何隔离受保护的数据,如病人的姓名、地点和联系方式 信息。必须非常明确的是,项目团队中的任何人,或者能够接触到患者层面的数据的人,都不能 必须非常明确的是,项目团队中的任何人,或者能够接触到患者层面数据的人,都不能接触到可能收到的电子邮件。 收到的电子邮件。如果赞助者没有人,可以考虑使用第三方来接收这些 如果他们在自己的组织中没有合适的人,可以考虑使用第三方接收这些联系。
总结
遵守GDPR是一项重要的工作,特别是对于资源有限的专业制药和生物技术公司。不遵守规定可能会在临床试验进展方面付出高昂的代价,并受到严重的经济处罚。因此,申办者必须找到值得信赖的合作伙伴,以帮助确保临床试验的所有方面--以及所涉及的数据处理--都按照最新的监管标准执行。
数据保护第一部分。了解GDPR对临床试验的影响
数据保护第二部分:确保研究启动时遵守GDPR的规定
注意:本材料仅用于提供信息,而不是为了提供法律建议。如果你不确定GDPR是否适用于某个特定的研究或场景,我们建议咨询法律顾问以获得指导。